摘 要
韩国在数据治理方面开辟了独特的国家治理模式,并推动了相关科技业务模式和监管框架的发展。20多年来,虽然韩国政府在建设国家宽带网络和促进数字技术应用方面做了大量工作,但其仍然面临着三个关键挑战:一是政府、银行、医疗卫生等网络服务需要韩 国打造一个完善的网络认证生态系统;二是跨行业和社会的密集数字化,使韩国易受到网络安全问题的威胁;三是作为世界上最依赖贸易的经济体之一,韩国对商品、资本、人员和技术跨境流动的高度依赖,使其需要建立一个与主要经济伙伴国家相匹配的数据监管框架。为了应对这些挑战,韩国在与数据相关的三个关键领域制定了连贯一致的政策,即开发有效的在线认证识别系统,应对网络威胁并增强数据弹性,以及促进数据跨境自由流动的同时保护韩国公民的个人隐私。
内容目录:
1 信任技术:韩国的在线身份认证与数据访问控制
1.1 韩国领先的信息通信技术环境
1.2 在线认证系统方案的演变与发展
1.3 数据访问控制
1.4 数据本地化
2 韩国的网络安全与数据弹性(Data Resilience)政策
2.1 网络安全治理框架
2.2 网络安全政策
2.3 网络安全能力
2.4 网络安全治理的主要特征和实践
3 韩国的数据保护与跨境数据流动 政策
3.1 数据保护与隐私法律框架
3.2 隐私和数据保护法的实施
3.3 个人数据跨境流动
3.4 韩国数据保护与跨境数据流动的经验教训
3.5 韩国对互联网互联模式的挑战
2021 年 8 月17 日,卡内基国际和平基金会发布了一份题为《韩国数据治理方式:世界在线率最高国家如何打造第三条道路》的研究报告。报告认为,除中美等大国在全球数字治理 政策塑造中扮演重要角色外,印度、日本、韩国等国家也在积极参与,国际互联网治理已经成为一种新的地缘政治竞争。该报告系统梳理 了韩国数字政策的框架、标准和模式,并着重分析了韩国数据治理的独特方式与经验教训。本文特编译了报告的核心内容,以供决策者和研究者进行国别比较和借鉴有益经验。
01 信任技术:韩国的在线身份认证与数据访问控制
报告指出,信息通信技术(ICT),特别是互联网和云计算正在逐渐成为经济和社会的基 础。然而,数字技术的广泛应用也助长了网络 犯罪、虚假信息、数据泄露以及网络间谍等活动。韩国政府认识到,建立更加完善的在线认证系统可以有效防止此类事件的发生。为此,韩国试验了多种在线身份认证方案并推出了一系列数据访问控制的政策。
1.1 韩国领先的信息通信技术环境
韩国被认为是全球信息通信技术基础设施 最先进的国家之一。自 2009 年 以来,在国际电信联盟信息通信技术发展指数中,韩国一 直位居前列, 其地理和人口优势一直支持着 信息通信技术的快速发展。截至 2020 年 12 月,韩国的互联网和智能手机的普及率位居世界第一。同时,在联合国电子政务发展指数中,韩国也一直位居榜首。韩国的信息通信技术政策是在明确的政府主导战略下实施的,并在基础设施建设方面取得重大成效。领先的信息通信技术环境推动韩国形成了独特的数据治理方式。
1.2 在线认证系统方案的演变与发展
由于居民登记号(Resident Registration Number, RRN)是分配给每个韩国国民的唯一身份识别 号码,因此韩国最初的在线身份识别是以居民登记号为中心,并于 21 世纪初开始在网上得到 广泛应用。随着互联网的快速发展,过度收集 居民登记号导致了个人信息泄露日益严重。2004年,韩国开始推出“基于国家公钥基础设施的授权证书”(NPKI-based Authorization Certificate, AC) ,并将其作为一种启用居民登记号标识的 替代方案。考虑到居民登记号数据泄露的风险,韩国政府又于2006 年设立并分发了互联网个人识别号码(I-PIN)系统,作为在线身份认证的 替代手段。由于 I-PIN 采用了基于ID/ 密码的身份验证方式,因此需要采取额外的强制安全措施。然而,这些互补性的安全措施导致 I-PIN 的 使用比私人身份认证服务更加不便。从 2012 年 8 月开始,韩国禁止通过居民登记号进行在线身 份认证, 但 I-PIN 和国家公钥基础设施也没有 得到广泛应用。2012 年 12 月,韩国广播通信委 员会(KCC)决定授权三家移动网络运营商提供 认证服务。2017 年,韩国广播通信委员会又将 7 家主要信用卡公司指定为新的在线身份认证机 构。这些私营部门部署的解决方案比以前政府 主导的方案得到了更广泛的应用,同时也促进 了韩国电子商务、电子政务以及移动应用程序的发展。2020 年 12 月,韩国政府又采用了混合在线认证环境,使得各种验证手段都可以一起使用。
1.3 数据访问控制
提高公共数据获取的便利性,既有利于满 足公众的知情权,又能够发展增加经济价值的 新服务。然而,过度信息公开又可能导致个人数据滥用、侵犯隐私等问题。在政府数据开放 政策的框架下,韩国率先实施了多种公共数据访问控制的方法。
(1)公共数据。为了保障国民的知情权以 及国家事务的透明度,韩国于1996 年制定了《公共机构信息公开法案》,规定了公共机构信息公开义务的必要事项和形式。随着智能手机的普及, 以及随之而来的大量数据和新应用程序,公共信息的范式也发生了巨大变化。为此,韩国于 2011 年出台了《公共信息和公共数据门户 服务指南》,并于 2013 年颁布了《政府 3.0 基 本规划》和《公共数据公开与利用法案》。2016 年,韩国政府又制定了《电子政务 2020 年基本计划》,以改善公共数据的访问。2021 年 2 月,韩国政府成立了“数据 119 项目”(Data 119 Project),并发布了一项旨在利用开放数 据重振数字经济的数据战略。同时,该战略还 要求修改《个人信息保护法》《信息通信技术与安全法》和《信用信息保护法》,推出 9 项 新的数据服务和 11 项行动任务,包括成立一个 特别数据委员会,以期通过提高数据保护水平 获得欧盟《通用数据保护条例》(GDPR)的充 分性认定。此外,为了实现公共数据访问控制,韩国政府于 2002 年成立了电子政府特别委员会,研究建立电子政府服务的政策及措施。2005 年,韩国科技信息通信部在大田市设立了政府综合计算中心,后于 2017 年更名为国家信息资源管理处。
(2)私人数据。韩国政府关于个人数据 相关规定,如欧盟一样强调以保护为主,限制 收集个人身份信息和未经授权的使用。直到 2001 年,韩国政府才修改了《信息通信技术振 兴法》,正式列入个人信息保护相关的各项规 定。2011 年,韩国制定了《个人信息保护法》(PIPA),正式建立了个人信息管理制度。PIPA 将个人信息定义为可单独或与其他信息结合用于识别与该信息关联人的信息。因此,各种类型的个人信息,如互联网协议地址和媒 体访问控制地址均被视为个人信息,在使用中 都受到了一定的限制。为了应对欧盟的《通用 数据保护条例》和第四次产业革命,韩国政府 通过不断修订法律加强对个人信息保护,同时引入了使用非身份性个人信息(Nonidentifying Personal Information) 的概念,提供基于数据可 携性的一站式服务。
1.4 数据本地化
韩国关于个人数据访问的另一个问题是数 据跨境访问与流动。虽然在《信息通信技术和安全法案》中早有涉及海外个人信息的条款,但该条款并没有解决数据跨境流动的问题。由于韩国的监管环境较为保守,《个人资料管理条例》第十七条也只是允许在临时情况下可以将个人资料转移到国外,而且在向其他国家传 输数据时,必须征取数据主体的同意。但是,第十七条并没有详细规定其他国家在进行数据处理时必须提供的保护级别,以及必须实施的额外保护措施。
02 韩国的网络安全与数据弹性(Data Resilience)政策
韩国虽然是世界上数字化程度最高的国家 之一, 但也很容易遭到网络攻击。过去 30 年里, 韩国不断制定和完善网络安全政策,增强公共 机构和私营部门应对网络威胁的能力。
2.1 网络安全治理框架
韩国关于网络安全治理主要由三个部分组成:一是韩国国家情报院(National Intelligence Service,NIS)下属的国家网络安全中心(NCSC)主要负责政府部门和公共机构的网络安全管理;二是韩国科学和信息通信技术部负责私营部门 的网络安全管理;三是针对特定部门的网络安全管理。近些年来,韩国又对其网络安全治理 框架进行了重大改革。自2015年开始,直接向总统汇报的国家安全委员会(NSC)负责统筹协调网络安全事宜。国家安全委员会下辖国家网络安全中心、科学和信息通信技术部以及国防部网络司令部,分别负责公共机构、私营部门以及国防部门的网络安全。(如图 1 所示)
图 1 韩国网络安全治理框架
2.2 网络安全政策
为了保护关键信息基础设施不受网络威胁和攻击,韩国于2001年制定了《关键信息基础 设施保护法》(CIIP) ,并在国务总理室设立了关键信息基础设施保护委员会,协调各部门之 间的相关事宜。根据该法案,核电站系统、交通系统、商业银行网络等 400 多个设施被认定 为关键信息基础设施。2019 年,韩国政府发布 了《国家网络安全战略》,提出了六大战略支柱, 即提高国家重点基础设施安全、增强网络攻击 应对能力、实施基于信任与合作的网络治理、发展网络安全产业、培育网络安全文化以及引领网络安全国际合作。随后,韩国又发布了《国家网络安全基本规划》,作为《国家网络安全 战略》的具体方案。韩国一直致力于实施推进《网络安全基本法》,明确各机构的角色和职责, 建立全国性的网络安全框架。2020 年,韩国修改了《国家情报院法》,制定了《网络安全业务条例》,确定了国家情报院在网络安全中的作用和地位。此外, 为了推动疫情后的经济恢复,韩国于2020年7月发布了“韩国新政”(Korean New Deal),其中有两项涉及网络安全的数字新政项目,即利用 5G 和人工智能建设智慧政府项目和推进网络安全项目。
2.3 网络安全能力
韩国开发了“全球网络安全能力评估” (GCCA)工具,通过与其他国家的比较来分析 韩国的网络安全能力, 并为网络安全相关决策提供基础数据支持。韩国网络安全能力需要改进的要素主要包括国家危机管理政策、网络安全法规、网络犯罪规制、标准制定和实施,以及教育项目等。虽然韩国政府于 2019 年发布了《国 家网络安全战略》和《国家网络安全基本计划》, 明确提出了18 个核心课题和 100 个具体课题等 相关实施计划 。但是,韩国政府并没有为每个任务分配优先级。因此,根据对韩国的全球网络安全能力评价的分析,韩国需要确定优先关注的评价指标,并提高各级任务的实施效率。
2.4 网络安全治理的主要特征和实践
在应对网络攻击方面,韩国既明确了各主要机构的责任,又制定了和平时期和危机时期 预防以及应对网络威胁的法律和政策。韩国的能源、水利、交通等关键基础设施大部分被认定为公共机构,并由国家集中运营,因而在增 强关键基础设施网络安全方面,私营部门的作用虽然至关重要,但比许多其他国家要小。韩 国主要是由国家统一负责收集和共享基础设施 威胁相关信息,并应对针对关键基础设施的网络攻击。因此,韩国可以有效制定和实施关于关键基础设施的网络安全政策。在网络安全治理架构层面,韩国的网络安全治理主要涉及公 共部门、私营部门和军队,并设立以国家安全委员会为控制塔的合作框架,国家情报院则一直处于其中的核心地位。在网络安全实践层面,自 2003 年网络中断事件之后,韩国建立了强制备份制度和 DDoS 攻击主动应对系统。同时,韩国政府于2004年 1月修改了《信息通信网法》,将信息保护的安全检查规定义务化,不断加强 私营部门的信息保护。2006 年,韩国又在中央政府部门引入了网络分离制度,之后又扩大了网络分离的范围,推动公共部门内部网络和外部网络的分离。
03 韩国的数据保护与跨境数据流动政策
尽管数据获取及共享对于实现数字转型和 驱动创新越来越重要,但由于数据获取障碍的 不断增加,尤其是很多国家实行了数据本地化 措施,要求数据必须在本国境内存储和访问, 导致了跨境数据流动变得更加复杂,从而限制 了数字经济的发展。个人隐私和数据保护是韩 国控制跨境数据流动的主要驱动力,因而韩国 一直被列为数据本地化要求最多的国家之一。然而,随着数字化转型的需要,韩国的数据保 护和跨境数据流动政策也在不断演变,以期平 衡个人数据的使用和内部数据保护,并促进数 据跨境流动和数字经济的增长。
3.1 数据保护与隐私法律框架
韩国宪法第十六、十七、十八条款规定了 隐私和数据保护的相关内容,这些条款都遵循 了《世界人权宣言》第十二条款和《公民权利 和政治权利国际公约》第十七条款,即公民的 隐私不受侵犯,公民的住所不受侵犯,以及公民的通信隐私也不受侵犯等内容。虽然在韩国宪法中没有明确规定数据保护或个人信息保护, 但韩国宪法法院于 2005 年承认了个人信息自决权是公民的一项基本权利。
2011 年 3 月,韩国制定了《个人信息保护法》(PIPA) ,并于同年 9 月正式生效,主要适用 于私人部门和公共机构处理个人信息的准则,成为了韩国关于数据保护的一般法律。2020 年 1 月,韩国国会又通过了《个人信息保护法》《信息通信技术与安全法》和《信用信息保护法》三部数据法律的修正案,并将数据保护条款纳入《网络法案》。至此,《个人信息保护法》最终成为了一部真正意义上的数据保护法律 此外,韩国还通过了涉及不同部门或不同类型个人信息的数据保护特别法, 如《信用信息法案》《本地信息法案》《医疗服务法案》等。
3.2 隐私和数据保护法的实施
通过 2020 年三部数据法律修正案,韩国个人信息保护委员会(PIPC)成为了一个独立的监管机构,类似于欧盟《通用数据保护条例》下的监管机构。该机构隶属于总理办公室,主要负责“独立开展与个人信息保护有关的工作”。虽然 PIPC 主席受总理的指导和监督,但在数据主体权利侵权调查及其处置事项、处理与个人 信息有关的投诉或补救程序、调解有关个人信息的纠纷,以及与数据泄露事件因素评估等事 项可保持相对独立性。
韩国的数据保护法律不仅参考了国际文件, 还参考了欧盟等国家的法律。但与经合组织的 《个人信息跨境流动及私隐保护指南》、欧洲 理事会的《关于个人数据自动处理的个人保护公约》以及欧盟的《通用数据保护条例》不同的是,韩国《个人信息保护法》并没有明确提及个人信息的使用或跨境流动,主要倾向于个 人信息保护,因而被称为“亚洲最严厉的数据 隐私法”。然而,韩国国内也出现了很多不同 的声音,认为《个人信息保护法》的数据保护方式和水平阻碍了依靠大数据分析和人工智能 的第四次产业革命的推进。因此,韩国数据保 护相关法律是否真的会积极鼓励个人信息的使用仍有待观察。
3.3 个人数据跨境流动
在韩国数据保护法律框架下,任何希望将 个人信息转移到韩国以外的公司或政府机构都 受到了限制。根据《个人信息保护法》, 在向 境外第三方提供个人信息时,必须事先征得数 据主体的同意。IT 服务提供商向境外提供、外 包处理或存储 IT 服务用户的个人信息时, 必须 事先征得 IT 服务用户的同意, 同时还必须实施 相应的保障措施。根据第30892号总统令的规定, 在韩国没有地址或营业场所的信息技术企业必须以书面形式指定国内代理商,以此加强个人 数据的保护。
在韩国对外贸易协定框架下,韩国通过一 系列双边、多边贸易协定谈判,与其他国家达成了一些数据跨境流动的规定。自 2003 年与智利签署第一个自由贸易协定以来,韩国目前已经共计签署了 21 个自由贸易协定,其中 20 个自由贸易协定都有数据跨境流动和数据本地化 的相关条款。尤其是在韩欧和韩美自由贸易协 定中,韩国表示对其监管制度进行修改,在允许跨境转移金融数据信息的同时,解决诸如保护消费者敏感信息等问题。
3.4 韩国数据保护与跨境数据流动的经验教训
虽然韩国已经成为主要的制造业强国,但在寻求数字经济发展中,韩国既需要加强国内的数据保护,也需要在限制数据本地化要求的情况下允许数据跨境自由流动。因此,韩国面 临的挑战是,在保障个人信息的使用和数字经济发展的同时,如何更有效地保护数据主体。数 字经济只有在获得用户充分信任并愿意提供个人信息的情况下才能稳定发展。值得庆幸的是,欧盟委员会已于 2021 年 6 月公布了有关韩国数 据保护充分性认定的草案。如果韩国《个人信 息保护法》被正式承认与《通用数据保护条例》 具有相当的数据保护水平,韩国将可以从欧盟 进口更多高质量的个人信息。从某种意义上说, 欧盟也可以将自己的数据保护规则输出到韩国,届时包括《个人信息保护法》在内的韩国数据 保护法律也将受到影响。
从个人信息自决权的角度考虑,个人信息的收集和使用原则上必须征得数据主体的同意。然而,在韩国数据保护实践中,数据主体的同意并没有得到优先考虑。根据《个人信息保护法》的互惠原则,个人信息的跨境流动将受到 限制,因此韩国也有必要为个人信息跨境流动 提供便利。
数字经济和数字贸易中,隐私、数据保护 对于获得和维持个人信任至关重要,网络安全对于保护数据流通也同等重要。因此,隐私、数据保护和网络安全应被视为支持数字贸易稳 定运行的基本要素。然而,目前还没有关于隐私、 数据保护和网络安全的国际协议, 即使在美国、 欧盟等国家之间,数据保护水平也存在着明显的差距。因此,韩国可以在世界贸易组织框架下参与制定数字贸易规则,甚至作为多方、多边贸易谈判的领导者,推动建立包括数据本地化和数据跨境流动规则在内的数字贸易新架构。
3.5 韩国对互联网互联模式的挑战
在过去的 20 年里,互联网基础设施的快速 扩张得益于互联网的互联互通和互联网公司的竞争。然而,从2016 年初开始,韩国通信监管机构开始征收“网络使用费”。这些新的收费将会颠覆整个互联网的商业模式,根本受益方是大多数韩国人所依赖的三大电信公司。韩国网络收费模式被“发送方网络支付”(SPNP) 模式所取代,导致了宽带成本的增加,并对韩国的数据和互联网使用产生了显著影响。如果不修改相关政策,针对韩国的网络基础设施投 资将会减少, 数字化转型也将放缓。更糟糕的是, 韩国国会于 2020 年 5 月通过了《信息通信企业 通信稳定法》, 进一步支持了三大韩国电信公司。韩国一直被认为是互联网普及率高、光纤网络 密集的国家,但这些新法律可能会使韩国人难以充分享受视频服务、内容分发网络、云服务、互联网服务等全球服务,并且还将严重阻碍韩 国电信初创企业与现有网络服务商的竞争。如何在寡头经济格局下处理好网络服务相关的税 收和企业政策,可能是韩国网络治理未来面临的最大挑战。
04 结 语
当前新一轮的产业革命蓄势待发,全球各国不断加快数字化转型步伐,曾经被视为纯粹 商业和技术的竞争领域,越来越被赋予地缘政 治色彩。数据治理作为数字时代大国竞争的关键领域,也不断推动着互联网技术有关的治理 模式的变革。韩国一直在数据治理中寻求公共 利益和私人利益、国家监管和市场创新之间的 平衡,也开辟了不同于其他国家的数据治理道 路。然而,数字产业发展更多的是源于竞争和 创新,韩国三大电信巨头却因其垄断性地位不断提高了市场进入门槛,导致了其他网络服务商纷纷转向海外市场,而国内用户网络服务成本也逐渐升高。因此,如何推动国内竞争与创 新将会成为韩国治理模式有效性的巨大考验。
作者简介:
卡内基国际和平基金会,是美国成立最早又 颇有影响的研究院之一,也是美国著名的主流思想智库,偏向于国际主义、多边主义。主张进行 裁军、军备控制、接触谈判和国际合作,并支持 把联合国作为国际论坛和世界秩序的象征。
译者简介:
郑乐锋 , 男, 硕士在读, 上海 社会科学院新闻研究所硕士研究生,主要研究 方向为网络空间国际治理。
(此报告翻译方式为编译,原文链接:https://carnegieendowment.org/2021/08/17/korean- way-with-data-how-world-s-most-wired- country-is-forging-third-way-pub-85161)
选自《信息安全与通信保密》2021年第12期(为便于排版,已省去参考文献)
